ゲストさんログイン

ウェブ検索

最新ニュース! クリックするほどよく分かる

[PR]前代未聞?全額返金保証の育毛剤

Pマーク、ISOコンサル現場の声 〜誰も教えない個人情報保護JISQ15001要求事項を読み解こう 3.3.1 個人情報の特定

2006年12月05日17時15分 / 提供:ネットセキュリティ

ネットセキュリティ


プライバシーマークやISO27001などの認証取得のコンサルティング業務の

一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。

(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)



株式会社JMCリスクマネジメント

マネジメントシステムコンサルタント

浦名 祐輔

http://rm.jmc.ne.jp/service/pm/column10.html



こんにちは。今回は前回に引き続き、JISQ15001:2006の要求事項を読み解いてみたいと思います。

今回対象とする要求事項は、「3.3.1 個人情報の特定」です。



本要求事項の主旨は、「自社で取り扱っている個人情報を明確にしなさい」ということになります。

さて、なぜPマークを取るにあたりこのようなことを実施する必要があるのでしょうか?



それは、「保護の対象を明確にするため」です。

Pマークの対象はあくまで個人情報であり、認証を取るためにはそれらを適切に取り扱い、保護するルールを作る必要があります。



対象が不明確な状態でルールを作ってしまうと漏れがあるかもしれません。その結果、守るべき個人情報が守られていない状態になってしまうおそれがあるのです。

ですから、この要求事項を使って自社で取り扱う個人情報(=保護の対象)を明確にする必要があるのです。



ここまで説明すると、本要求事項で具体的に実施しなければならないことが分かってきます。

皆様がやるべきことは、自社にある個人情報(紙、電子媒体、デジタルデータ)を洗い出すことです。

履歴書、経歴書、名刺、健康診断の結果、株主名簿、顧客データベース、メルマガ購読者情報等々、社内には数多くの個人情報が存在しているはずです。それらを漏れなく洗い出し、まとめましょう。



この作業を実施するにあたり気をつけなければならないこととして、「個人情報の定義をはっきりさせる」ということが挙げられます。

特に現場に洗い出し作業を実施してもらう際は、「何をもって個人情報とするのか」を共通認識として持たせないと、洗い出しに漏れが出てしまいます。JISQ15001における個人情報の定義は、基本的に個人情報保護法と同じです。ただし、保護法と異なり、故人の情報も含まれるので注意が必要ですね。



また、本作業時にお客様から「社内の事務手続きで使用している申請書類等、細々したものも洗い出しの対象になるのですか?」という質問を受けることがあります。

この質問に対する答えとしては、規格を厳密に解釈すると「YES」になると思われます。

ただし、実際の審査においてはその辺りを大目に見てくれる審査員もいるようですので、結果的にはケースバイケースだと思います。

上記のようなことで悩んだ場合、そもそもの目的に戻りましょう。

保護の対象が明確になればよいわけですから、それができていればOKとし、そこから先は審査員に判断してもらえばよいのです。

完璧を求めるあまり、このフェーズに時間をかけすぎるのは非効率のような気がします。



さて、本要求事項ではもう1つ要求されていることがあります。それは、洗い出した個人情報の“ライフサイクル(入手〜保管・廃棄までの流れ)”を明確にするということです。

規格の本文にはそのようなことは書かれていませんが、規格の解説部分には、「特定した個人情報については、その取り扱い状況を一覧できる手段を整備する必要がある」と書かれています。



例えば、履歴書であれば以下のような感じです。



取得:応募者から郵送でいただく

一時保管:・面接まで人事部の施錠可能なキャビネットに保管

     ・面接終了後は廃棄までの間人事部の施錠可能なキャビネットに保管

利用(複写):面接官分コピーを取る

移送:・支社で受領したものは本社人事部にFAXで送る

   ・不合格者分は配達記録付きの郵便で応募者に送る

廃棄:シュレッダーで裁断する



このライフサイクルの洗い出しは、リスク分析のインプットになりますので、漏れがないように、かつ細かく洗い出すようにしてください。

細かくというのは、“誰が”という主体や、“どのように”という手段を明確にするという意味です。



そして最後に、これら洗い出しの結果は、定期的に見直す必要があるということです。

最近の審査では定期的な見直しの手順が抜けていると、指摘を受けることがあります。

時間の経過と共に社で取り扱う個人情報は変化するでしょうし、取り扱いプロセスも変わる可能性があります。

保護の対象である個人情報が網羅され、リスク分析が行われ、結果として適切な管理措置が講じられるように、見直しは必要なのです…



【執筆:浦名祐輔】



※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。

コラムの全文は、同社下記情報サイトから利用可能です。

http://rm.jmc.ne.jp/service/pm/column10.html

関連ワード:
クマ  個人情報  ISO  ユーザー認証  健康  
Ads by Google
コメントするにはログインが必要です
ログインしてください
投稿

関連ニュース:クマ

ITアクセスランキング

注目の情報
英語、話したいです!石川遼17歳
『スピードラーニング』を移動中に聞いてます。英語を聞いてすぐ日本
語が分かるのがいいですね。海外の試合で外国人選手とコミュニケーシ
ョンをとれるようになったのが一番嬉しいです!


遼くんが今も学んでいる英語とは

ヘッドライン

つるの剛士 ドラクエIXを発売前日にゲットし、自慢 つるの剛士 ドラクエIX...
 タレントのつるの剛士(34)が、話題の任天堂DS用ゲームソフト『ドラゴンクエストIX〜星空の守り人〜』を発売日となる7月11日より1日早く手に入れたことを、「

写真ニュース

クリアスウィフト、検索語句を一括登録できるセキュリティアプライアンスを発売 シマンテック、セキュリティ製品群最新版のパブリックベータを配信開始 〜 新保護モデル「Quorum」発表 2009年上半期は、USBメモリを悪用する「WORM_DOWNAD」が猛威 〜 トレンドマイクロ調べ 【連載・シンクライアントソリューション(Vol.1)】新世代型シンクライアントの紹介〜何故、今シンクライアントなのか?〜
「Twitterで簡単にもうかる」という偽メール、情報詐取が目的か マイケル・ジャクソン氏の死に便乗するサイバー攻撃が横行 MSのセキュリティサービスは脅威にならず、F-SecureのCEO 私用パソコン所有者の3割がウイルス感染を経験
Web攻撃の「Nine-Ball」、盗んだFTPパスワードで侵入か 「データ暗号化は使いやすい」とPGP代表の北原氏 チャット相手は本当に女性? IMで不正サイトに誘導 アダルトサイトに仕掛けられる「PDF」ウイルスに注意

特集

ケータイでニュースを見る
QRコード 行きの電車、帰りの電車で
livedoorニュースを読もう!
ケータイにメールを送る